Oracle Autonomous Databaseでのセキュリティおよび認証
Oracle Autonomous Databaseは、すべてのデータを暗号化された形式でデータベースに格納します。認証されたユーザーとアプリケーションのみが、データベース接続時にデータにアクセスできます。
Oracle Autonomous Databaseは、権限分析、ネットワーク暗号化、一元管理ユーザー、セキュアなアプリケーション・ロール、透過的な機密データ保護など、Oracle Databaseの標準セキュリティ機能をサポートしています。さらに、Oracle Autonomous Databaseは、Label Security、Database Vault、Data Safe、その他の高度なセキュリティ機能を追加コストなしで追加できます。
- 構成管理
Oracle Autonomous Databaseは、データベース全体の構成の管理にかかる時間とコストを削減する、標準で強化されたセキュリティ構成を提供します。 - データ暗号化
Oracle Autonomous Databaseでは、静止中および転送中のデータを保護する常時稼働の暗号化を使用します。保存時および移動中のデータはデフォルトで暗号化されます。暗号化をオフにすることはできません。 - データ・アクセス制御
Oracle Autonomous Databaseおよびデータへのアクセスを保護するには、いくつかの異なる種類のアクセス制御を使用します: - Autonomous Databaseの概要の監査
Oracle Autonomous Databaseには、サービスおよび特定のデータベースで誰が何を実行したのかを追跡できる堅牢な監査機能が備わっています。包括的なログ・データによって、リソースに対するアクションを監査およびモニターできるため、セキュリティおよび運用のリスクを軽減しながら監査要件を満たすことができます。 - データベースとそのデータのセキュリティの評価
Oracle Autonomous Databaseは、データベースの評価と保護に役立つ、Oracle Data Safeとの統合をサポートしています。 - 規制コンプライアンス認定
Oracle Autonomous Databaseは、幅広い国際的および業界固有のコンプライアンス標準セットに対応しています。
親トピック: セキュリティ
構成管理
Oracle Autonomous Databaseは、データベース全体の構成の管理にかかる時間とコストを削減する、標準で強化されたセキュリティ構成を提供します。
セキュリティのパッチと更新は自動的に行われるため、セキュリティを最新の状態に保つために、時間、コスト、または注意を払う必要はありません。これらの機能では、データベースおよびデータを、コスト発生や致命的な可能性のあるセキュリティーの脆弱性や侵害から保護します。
データ暗号化
Oracle Autonomous Databaseでは、静止中および転送中のデータを保護する常時稼働の暗号化を使用します。保存時および移動中のデータはデフォルトで暗号化されます。暗号化をオフにすることはできません。
静止中のデータの暗号化
静止中のデータは、TDE (透過的データ暗号化)を使用して暗号化されます。これは、データの処理、転送および格納を保護する暗号化ソリューションです。AES256表領域暗号化を使用すると、各データベースには独自の暗号化キーがあり、バックアップにはそれぞれ異なる暗号化キーがあります。
デフォルトでは、Oracle Autonomous Databaseは、データの保護に使用されるすべてのマスター暗号化キーを作成および管理し、データベースに存在するのと同じシステム上のセキュアなPKCS 12キーストアに格納します。会社のセキュリティ・ポリシーに必要な場合、Oracle Autonomous Databaseでは、かわりにOracle Cloud Infrastructure Vaultサービスで作成および管理するキーを使用できます。詳細は、Autonomous Databaseでのマスター暗号化キーの管理についてを参照してください。
また、組織のセキュリティ・ポリシーを満たすために、必要に応じて顧客管理キーをローテーションできます。
ノート: データベースをクローニングすると、新しいデータベースは独自の新しい暗号化キーのセットを取得します。
転送中のデータの暗号化
クライアント(アプリケーションおよびツール)は、SQL*Net、JDBC、ODBCなどのサポートされているプロトコルを使用してOracle Autonomous Databaseに接続します。
TCPS (Secure TCP)データベース接続サービスでは、接続に業界標準のTLS 1.2 (Transport Layer Security)プロトコルが使用され、対称キー・データ暗号化が適用されます。
-
mTLS接続では、Oracle Autonomous Databaseユーザーは、クライアントがTCPSを使用して接続するために必要なすべてのファイルを含む接続ウォレットをダウンロードします。このウォレットは、データベース・アクセスが必要で許可されているユーザーにのみ配布します。クライアント側の構成では、ウォレット内の情報を使用して対称キー・データ暗号化が実行されます。
-
Autonomous Databaseは、デフォルトで相互TLS (mTLS)接続をサポートしています。Autonomous Databaseインスタンスを構成して、mTLS接続とTLS接続の両方を許可することもできます。TLS接続を使用すると、一部のクライアント(JDBC Thinドライバ・クライアントなど)では、TLS接続文字列を使用し、Autonomous Databaseインスタンスに対してTLSが有効になっている場合、ウォレットをダウンロードする必要はありません。
詳細は、mTLSまたはTLSを使用したAutonomous Databaseへのセキュアな接続を参照してください。
データ・アクセス制御
Oracle Autonomous Databaseおよびデータへのアクセスを保護するには、いくつかの異なる種類のアクセス制御を使用します。
- クライアント・アクセス制御
Autonomous Databaseインスタンスのクライアント・アクセス制御は、ネットワーク・アクセス制御ポリシー、クライアント接続プロトコル、およびクライアントが接続に使用するデータベース・ユーザーのアクセス権によって適用されます。 - データベース・ユーザー・アクセス制御
Oracle Autonomous Databaseは、他のデータベース・アカウントの作成および管理に使用する管理アカウントADMINで構成されます。Oracle Autonomous Databaseは、システム権限やオブジェクト権限、ロールなど、堅牢な一連の機能と制御を提供します。ユーザー・プロファイルを使用すると、パスワード・ポリシーをカスタマイズして、セキュアなデータベース・ユーザー・アクセス戦略を定義および実装できます。 - Oracle Cloudユーザー・アクセス制御
Identity and Access Management (IAM)サービスを使用して、Oracle Autonomous Databaseでユーザーが実行できるアクションを指定することで、Oracle Cloudユーザーの権限を制御します。 - Autonomous Databaseでの認可されたアクセス
認可されたユーザーのみがAutonomous Databaseインスタンスへのアクセスを許可されます。 - Autonomous Databaseフルマネージド・サービス
Autonomous Databaseはフルマネージド・サービスであり、Oracleは独自のOracle Cloud Infrastructureテナンシを使用してAutonomous Databaseサービスを実行します。
クライアント・アクセス制御
Autonomous Databaseインスタンスのクライアント・アクセス制御は、ネットワーク・アクセス制御ポリシー、クライアント接続プロトコル、およびクライアントが接続に使用するデータベース・ユーザーのアクセス権によって適用されます。
ネットワーク・アクセス制御
-
プライベート・エンドポイントおよびセキュリティ・リスト:これは推奨オプションです。プライベート・エンドポイントを使用して、仮想クラウド・ネットワーク(VCN)にOracle Autonomous Databaseを作成します。セキュリティ・リストおよびネットワーク・セキュリティ・グループを使用してデータベースへのアクセスを制御し、データベースへの接続を作成できるユーザーを指定できます。
これらのリソースの作成の詳細は、プライベート・エンドポイントを使用したネットワーク・アクセスの構成を参照してください。
-
パブリック・エンドポイントおよびアクセス制御リスト:クライアント資格証明を持つ任意のクライアントからのアクセスを許可するパブリック・エンドポイントを使用して、Oracle Autonomous Databaseを作成します。データベースへのアクセスを制御するには、ネットワーク・アクセス制御リスト(ACL)を使用します。これにより、データベースに接続できるIPアドレス、CIDRブロックまたはVCNsを指定できます。パブリックIPは検出と攻撃が容易であり、可能な場合はプライベート・エンドポイントをお薦めします。
ACLの設定の詳細は、既存のAutonomous Databaseインスタンスのアクセス制御リストの構成を参照してください。
クライアント接続制御
クライアントは、標準のTLS 1.2を使用してTCPS (セキュアなTCP)データベース接続を介して接続し、接続を保護します。Oracle Autonomous Databaseでは、自己署名証明書が使用されます。Oracle Cloud Infrastructureコンソールから自己署名証明書をローティングして、組織のセキュリティ・コンプライアンスのニーズを満たすこともできます。「即時ローテーションによるウォレットのローテーション」を参照してください。
クライアントがデータベースに対して持つアクセス権限は、クライアントが接続に使用するデータベース・ユーザーのアクセス権によって制限されます。
親トピック: データ・アクセス制御
データベース・ユーザー・アクセス制御
Oracle Autonomous Databaseは、他のデータベース・アカウントの作成および管理に使用する管理アカウントADMINで構成されます。Oracle Autonomous Databaseは、システム権限やオブジェクト権限、ロールなど、堅牢な一連の機能と制御を提供します。ユーザー・プロファイルを使用すると、パスワード・ポリシーをカスタマイズして、セキュアなデータベース・ユーザー・アクセス戦略を定義および実装できます。
標準のユーザー管理に関する基本情報については、『Oracle Database概要』のユーザー・アカウントに関する項を参照してください。詳細およびガイダンスは、『Oracle Databaseセキュリティ・ガイド』のOracle Databaseユーザーのセキュリティの管理に関する項を参照してください。
データベース・ユーザー・アクセス戦略で、標準ユーザー管理よりも多くの制御が必要な場合、Database Vaultを使用するようにOracle Autonomous Databaseを構成して、より厳格な要件を満たすことができます。
Microsoft Active Directoryを使用したデータベース・ユーザーの管理
Microsoft Active Directoryをユーザー・リポジトリとして使用する場合、データベースを構成してMicrosoft Active Directoryユーザーを認証および認可できます。この統合により、標準的なユーザー管理とDatabase Vaultのどちらを使用しているかにかかわらず、厳格なデータベース・ユーザー・アクセス戦略を実装しながら、ユーザー・リポジトリを統合できます。
Microsoft Active Directoryとデータベースの統合の詳細は、Autonomous DatabaseでのMicrosoft Active Directoryの使用方法に関する項を参照してください。
Database Vault
Oracle Database Vaultは、事前構成済ですぐに使用できます。その強力なセキュリティ制御を使用して、特権データベース・ユーザーによるアプリケーション・データへのアクセスを制限できます。これにより、リスクの脅威を減らし、一般的なコンプライアンス要件に対処できます。
特権アカウントによるアプリケーション・データへのアクセスのブロック、およびデータベース内での機密操作を制御するためのコントロールを構成します。信頼できるパスを構成して、認可されたデータ・アクセス、データベース・オブジェクトおよびデータベース・コマンドにセキュリティ制御を追加します。Database Vaultは、既存のデータベース環境を透過的に保護することで、コストと時間がかかるアプリケーションの変更を排除します。
Database Vaultを使用する前に、必ず、Autonomous DatabaseでのOracle Database Vaultの使用を参照し、Database Vaultの構成および有効化の影響を把握してください。
Database Vaultの機能の実装の詳細は、『Oracle Database Vault管理者ガイド』を参照してください。
親トピック: データ・アクセス制御
Oracle Cloudのユーザー・アクセス制御
Identity and Access Management (IAM)サービスを使用して、Oracle Autonomous Databaseでユーザーが実行できるアクションを指定することで、Oracle Cloudユーザーの権限を制御します。
IAMサービスには、セキュアなクラウド・ユーザー・アクセス戦略の定義および実装に役立つ複数の種類のコンポーネントが用意されています:
-
コンパートメント: 関連するリソースの集合。コンパートメントは、クラウド・リソースを編成および分離するためのOracle Cloud Infrastructureの基本コンポーネントです。
-
グループ: 特定のリソースまたはコンパートメントのセットに対して同じアクセス・タイプを必要とするユーザーの集合。
-
動的グループ: 定義したルールに一致するリソースを含む、特別なタイプのグループ。したがって、一致するリソースが作成または削除されると、メンバーシップが動的に変わる可能性があります。
-
ポリシー: 誰がどのリソースにどのようにアクセスできるかを指定する文のグループ。アクセス権はグループ・レベルおよびコンパートメント・レベルで付与します。つまり、特定のコンパートメント内の特定のリソース・タイプへのアクセス権を特定のグループに付与するポリシー・ステートメントを記述します。
このうち、ポリシーは、単一のアクセス制約の「誰が」、「どのように」、「何を」、「どこで」を指定するとため、アクセス制御のための主要なツールとして使用できます。ポリシー・ステートメントのフォーマットは次のとおりです:
ポリシー・ステートメントのフォーマットは次のとおりです:
Allow
group <group-name>
to <control-verb>
<resource-type>
in compartment <compartment-name>-
group <group-name>は、既存のIAMグループの名前を指定することで、「誰が」を指定します。 -
to <control-verb>は、次の事前定義済の制御動詞のいずれかを使用して、「どのように」を指定します。inspect: 特定のタイプのリソースを、それに含まれる可能性がある機密情報やユーザー指定のメタデータにはアクセスせずに一覧表示できます。read:inspectに加えて、ユーザー指定のメタデータと実際のリソースそのものを取得できます。use:readに加えて、既存のリソースを作業できます(作成や削除はできません)。また、「作業する」とは、各リソース・タイプで異なる操作を意味します。manage: リソース・タイプに対するすべての権限(作成および削除を含む)。
-
<resource-type>は、事前定義済のリソース・タイプを使用して、「何を」を指定します。インフラストラクチャ・リソースのリソース・タイプの値は次のとおりです:autonomous-databasesautonomous-backups
テナンシ内でタグ付けが使用されている場合は、
tag-namespacesリソース・タイプ値を参照しているポリシー・ステートメントを作成できます。 -
in compartment <compartment-name>は、既存のIAMコンパートメントの名前を指定することで、「どこで」を指定します。
IAMサービスとそのコンポーネントの仕組みおよび使用方法の詳細は、Oracle Cloud Infrastructure Identity and Access Managementの概要を参照してください。IAMに関する一般的な質問への簡単な回答は、Identity and Access ManagementのFAQを参照してください。
親トピック: データ・アクセス制御
Autonomous Databaseでの認可されたアクセス
Autonomous Databaseインスタンスへのアクセスが許可されるのは、認可されたユーザーのみです。
Oracle Cloudオペレータには、Autonomous Databaseにアクセスする権限がありません。問題のトラブルシューティングまたは軽減にデータベースへのアクセスが必要な場合、クラウド・オペレータが限られた期間、データベースにアクセスすることを許可できます。
プロシージャDBMS_CLOUD_ADMIN.ENABLE_OPERATOR_ACCESSを実行して、クラウド・オペレータがデータベースにアクセスできるようにします。つまり、Oracle Cloud Supportにサービス・リクエストを提出する場合、またはサポート担当者に連絡して、Oracle Cloud Operatorsがデータベースにアクセスする必要がある場合、DBMS_CLOUD_ADMIN.ENABLE_OPERATOR_ACCESSを実行してオペレータ・アクセスを有効にする必要もあります。
Oracle Cloudオペレータによる各データベース・アクセスは、リクエストIDおよび理由を使用して記録されます。
詳細は、Oracle Cloudオペレータ・アクセスの管理およびOracle Cloud Infrastructure操作アクションの表示を参照してください。
親トピック: データ・アクセス制御
Autonomous Databaseフルマネージド・サービス
Autonomous Databaseはフルマネージド・サービスであり、Oracleは独自のOracle Cloud Infrastructureテナンシを使用してAutonomous Databaseサービスを実行します。
Oracle Cloudオペレータは顧客のテナンシにアクセスできず、クラウド・オペレータはネットワークにアクセスできません。
親トピック: データ・アクセス制御
Autonomous Databaseでの監査の概要
Oracle Autonomous Databaseには、サービスおよび特定のデータベースに対して誰が何を実行したかを追跡できる堅牢な監査機能が備わっています。包括的なログ・データによって、リソースに対するアクションを監査およびモニターできるため、セキュリティおよび運用のリスクを軽減しながら監査要件を満たすことができます。
- サービス・レベル・アクティビティの監査
Oracle CloudユーザーがOracle Autonomous Databaseのデプロイメントを構成するリソースに対して実行するすべてのアクションは、使用されるインタフェース(Oracle Cloud Infrastructure Console、REST API、コマンドライン・インタフェース(CLI)、ソフトウェア開発キット(SDK)など)に関係なく、Auditサービスによって記録されます。 - データベース・アクティビティの監査
Oracle Autonomous Databaseは、ユーザーが作成したAutonomous Databaseを、Oracle Databaseの統合監査機能を使用するように構成します。
サービス・レベル・アクティビティの監査
Oracle Cloud Infrastructure Console、REST API、コマンドライン・インタフェース(CLI)、ソフトウェア開発キット(SDK)など、使用されるインタフェースに関係なく、Oracle CloudユーザーがOracle Autonomous Databaseのデプロイメントを構成するリソースに対して実行するすべてのアクションは、Auditサービスによって記録されます。
監査サービスを使用して、診断の実行、リソース使用率の追跡、コンプライアンスのモニター、セキュリティ関連イベントの収集を行うことができます。監査サービスの詳細は、Oracle Cloud Infrastructureドキュメントの監査の概要を参照してください。
また、ユーザーがOracle Autonomous Databaseで操作を実行すると、データベースはイベントをOracle Cloud Eventsサービスに公開します。Oracle Cloud Eventsサービスを使用すると、これらのイベントを取得してアクションを実行するルールを作成できます。
イベント・サービスの仕組みと、使用されるルールおよびアクションの設定方法の詳細は、イベントの概要を参照してください。イベントを生成するOracle Autonomous Database操作のリストは、Autonomous Databaseイベント・タイプを参照してください。
親トピック: Autonomous Databaseでの監査の概要
データベース・アクティビティの監査
Oracle Autonomous Databaseは、ユーザーが作成したAutonomous Databaseを、Oracle Databaseの統合監査機能を使用するように構成します。
この機能によって、次のソースから監査レコードが取得され、統一されたフォーマットで1つの監査証跡に収集されます:
- 統合監査ポリシーおよび
AUDIT設定による監査レコード(SYS監査レコードを含む) DBMS_FGAPL/SQLパッケージによるファイングレイン監査レコード- Oracle Database Real Application Security監査レコード
- Oracle Recovery Manager監査レコード
- Oracle Database Vault監査レコード
- Oracle Label Security監査レコード
- Oracle Data Miningレコード
- Oracle Data Pump
- Oracle SQL*Loaderダイレクト・ロード
監査情報は最大14日間保持され、その後は自動的にパージされます。監査情報をより長く保持し、データベース・アクティビティを簡単に分析およびレポートするには、Oracle Data Safe (Oracle Autonomous Databaseサブスクリプションに付属)を使用します。
詳細は「Autonomous Databaseの監査について」を参照してください。
親トピック: Autonomous Databaseでの監査の概要
データベースとそのデータのセキュリティ評価
Oracle Autonomous Databaseは、データベースの評価と保護に役立つOracle Data Safeと統合されています。
Oracle Data Safeは、データベースの機密性の理解、データへのリスクの評価、機密データのマスキング、セキュリティ制御の実装と監視、ユーザー・セキュリティの評価、ユーザー・アクティビティのモニター、およびデータ・セキュリティ・コンプライアンス要件への対応に役立ちます。
Oracle Data Safeを使用して、データベースをData Safeに登録することで、Oracle Autonomous Databaseの機密データおよび規制対象データを識別および保護します。次に、データベースの「詳細」ページからData Safeコンソールを直接使用します。
Data Safeの使用の詳細は、Oracle Data Safe機能の使用を参照してください。
規制コンプライアンスの認証
Oracle Autonomous Databaseは、幅広い国際的および業界固有のコンプライアンス標準セットに対応しています。
| 認定 | 摘要 |
|---|---|
|
C5 |
クラウド・コンピューティングのコンプライアンス制御カタログ(C5) |
|
CSA STAR |
クラウド・セキュリティ・アライアンス(CSA)セキュリティ・トラスト、保証、リスク(STAR) |
|
Cyber Essentials(イギリス) Cyber Essentials Plus (英国) |
Oracle Cloud Infrastructureは、次のリージョンでCyber EssentialsとCyber Essentials Plusの認定を取得しました。
|
|
摘要(UAE) |
ドバイ電子セキュリティセンターCSPセキュリティ標準 |
|
DoD IL4/IL5 |
これらのリージョンにおけるDISA Impact Level 5認可:
|
|
ENS High(スペイン) |
Esquema Nacional de Seguridad認定レベルの高い。 |
|
FedRAMP高 |
米国連邦リスク承認管理プログラム(U.S.)政府リージョンのみ) |
|
FSI (S)大韓民国) |
金融セキュリティ研究所 |
|
HDS |
フランスの公衆衛生コードでは、Hébergeur deDonnéesdeSanté(HDS)の認定および認定を受けているインフラストラクチャ、ホスティングおよびプラットフォーム・サービス・プロバイダを使用するために、健康データまたは医療データを制御、処理または格納する医療機関が必要です |
|
HIPAA |
医療保険の相互運用性と説明責任に関する法律 |
|
ヒトラスト |
Health Information Trust Alliance (HITRUST) |
|
IRAP(オーストラリア) |
Infosec Registered Assessors Program(インフォセック登録評価プログラム)シドニーおよびメルボルン地域 |
|
ISMS(S)大韓民国) |
情報セキュリティマネジメントシステム |
|
ISO/IEC 27001:2013 |
国際標準化機構27001 |
|
ISO/IEC 27017:2015 |
ISO/IEC 27002に基づくクラウド・サービスのための情報セキュリティ管理のための実務規程 |
|
ISO/IEC 27018:2014 |
PIIプロセッサとして機能するパブリック・クラウドにおける個人識別情報(PII)の保護のための実務規程 |
|
MeitY (インド) |
エレクトロニクス情報技術省 |
|
MTCS(シンガポール) |
複数層Cloud Service (MTCS)レベル3 |
|
パスフ(UK OC4) |
Police Assured Secure Facilities (PASF)は、以下の地域にあります。
|
|
PCI DSS |
クレジット・カード業界データ・セキュリティ基準は、クレジット・カード情報を処理、保存または送信するすべての会社がセキュアな環境を維持するようにするための一連の要件です |
|
SOC 1 |
システムおよび組織管理1 |
|
SOC 2 |
システムおよび組織管理2 |
詳細および完全な認証リストについては、Oracle Cloudのコンプライアンスを参照してください。